安装前清单

清单包括在安装 Citrix Gateway 之前应完成的任务和计划信息列表。

提供空间,以便您可以在完成任务并做笔记时检查每个任务。Citrix 建议您记下在安装过程中和配置 Citrix 网关时需要输入的配置值。

有关安装和配置 Citrix 网关的步骤,请参阅安装思杰网关

用户设备

  • 确保用户设备满足Citrix 网关插件系统要求
  • 识别用户连接的移动设备。注意:如果用户连接到 iOS 设备,则需要在会话配置文件中启用安全浏览。

思杰网关基本网络连接

Citrix 建议您在开始配置设备之前获取许可证和签名的服务器证书。

  • 识别并记下 Citrix 网关主机名。注意:这不是完全限定的域名 (FQDN)。FQDN 包含在绑定到虚拟服务器的签名服务器证书中。
  • 获取通用许可证,请从思杰网站
  • 生成证书签名请求 (CSR) 并发送到证书颁发机构 (CA)。输入您将 CSR 发送到 CA 的日期。
  • 记下系统 IP 地址和子网掩码。
  • 记下子网 IP 地址和子网掩码。
  • 记下管理员密码。思杰网关附带的默认密码是 nsroot。
  • 记下端口号。这是 Citrix 网关侦听安全用户连接的端口。默认值为 TCP 端口 443。此端口必须在不安全的网络(Internet)和 DMZ 之间的防火墙上打开。
  • 记下默认网关 IP 地址。
  • 记下 DNS 服务器 IP 地址和端口号。默认端口号为 53。此外,如果要直接添加 DNS 服务器,则还必须在设备上配置 ICMP (ping)。
  • 记下第一个虚拟服务器 IP 地址和主机名。
  • 记下第二个虚拟服务器 IP 地址和主机名(如果适用)。
  • 记下 WINS 服务器 IP 地址(如果适用)。

可通过 Citrix 网关访问的内部网络

  • 记下用户可以通过 Citrix 网关访问的内部网络。示例:
  • 输入用户使用 Citrix 网关插件通过 Citrix 网关连接时需要访问的所有内部网络和网络段。

高可用性

如果您有两个 Citrix 网关设备,则可以在高可用性配置中部署这些设备,其中一个 Citrix 网关接受和管理连接,而另一个 Citrix 网关则监视第一个设备。如果第一个 Citrix 网关出于任何原因停止接受连接,则第二个 Citrix 网关将接管并开始主动接受连接。

  • 记下 Citrix 网关软件版本号。
  • 两个 Citrix 网关设备上的版本号必须相同。
  • 记下管理员密码(NSroot)。两台设备上的密码必须相同。
  • 记下主 Citrix 网关 IP 地址和 ID。最大身份证号码为 64。
  • 记下辅助 Citrix 网关 IP 地址和 ID。
  • 获取并在两台设备上安装通用许可证。
  • 必须在两台设备上安装相同的通用许可证。
  • 记下 RPC 节点密码。

身份验证和授权

Citrix Gateway 支持多种不同的身份验证和授权类型,这些类型可以用于各种组合。有关身份验证和授权的详细信息,请参阅身份验证和授权

LDAP 身份验证

如果您的环境包含 LDAP 服务器,则可以使用 LDAP 进行身份验证。

  • 记下 LDAP 服务器 IP 地址和端口。

    如果允许与 LDAP 服务器不安全的连接,则默认为端口 389。如果使用 SSL 加密到 LDAP 服务器的连接,则默认为端口 636。

  • 记下安全类型。

    您可以使用或不使用加密来配置安全性。

  • 记下管理员绑定 DN。

    如果 LDAP 服务器需要身份验证,请输入 Citrix 网关在查询 LDAP 目录时应使用的管理员 DN。一个例子是 cn= 管理员,CN = 用户,dc = ACE,DC=com。

  • 记下管理员密码。

    这是与管理员绑定 DN 关联的密码。

  • 写下基本 DN。

    用户所在的 DN(或目录级别);例如,用户 = 用户、dc=ace、dc=com。

  • 记下服务器登录名属性。

    输入指定用户登录名的 LDAP 目录人员对象属性。默认值为 “同一帐户名称”。如果您不使用 Active Directory,则此设置的常见值为 cn 或 uid。有 关 LDAP 目录设置的详细信息,请参阅 配置 LDAP 身份验证

  • 记下组属性。 输入 LDAP 目录人员对象属性,该属性指定用户所属的组。默认值为 “成员”。此属性使 Citrix Gateway 能够标识用户所属的目录组。
  • 记下子属性名称。

RADIUS 身份验证和授权

如果您的环境包含 RADIUS 服务器,则可以使用 RADIUS 进行身份验证。 RADIUS 身份验证包括 RSA 安全网络、安全字和金雅拓原产品。

  • 记下主 RADIUS 服务器 IP 地址和端口。默认端口是 1812。
  • 记下主 RADIUS 服务器密钥(共享密钥)。
  • 记下辅助 RADIUS 服务器 IP 地址和端口。默认端口是 1812。
  • 记下辅助 RADIUS 服务器密钥(共享密钥)。
  • 记下密码编码的类型(PAP、CHAP、MS-CHAP v1、MSCHAP v2)。

SAML 身份验证

安全断言标记语言 (SAML) 是一种基于 XML 的标准,用于在身份提供商 (IdP) 和服务提供商之间交换身份验证和授权。

  • 获取并在 Citrix 网关上安装安全 IdP 证书。
  • 记下重定向 URL。
  • 记下用户字段。
  • 记下签名证书名称。
  • 记下 SAML 颁发者名称。
  • 记下默认身份验证组。

通过防火墙打开端口(单跳 DMZ)

如果您的组织使用单个 DMZ 保护内部网络,并在 DMZ 中部署 Citrix 网关,请通过防火墙打开以下端口。如果要在双跳 DMZ 部署中安装两个 Citrix 网关设备,请参阅打开防火墙上的适当端口

在不安全网络和 DMZ 之间的防火墙上

  • 在 Internet 和 Citrix 网关之间的防火墙上打开 TCP/SSL 端口(默认 443)。用户设备连接到此端口上的 Citrix 网关。

在安全网络之间的防火墙上

  • 在 DMZ 和安全网络之间的防火墙上打开一个或多个适当的端口。Citrix Gateway 连接到一个或多个身份验证服务器或连接到这些端口上的安全网络中运行 Citrix 虚拟应用程序和桌面的计算机。
  • 记下身份验证端口。

    仅打开适合您的 Citrix 网关配置的端口。

    • 对于 LDAP 连接,默认为 TCP 端口 389。
    • 对于 RADIUS 连接,默认为 UDP 端口 1812。记下 Citrix 虚拟应用程序和桌面端口。
  • 如果将 Citrix 网关与 Citrix 虚拟应用程序和桌面结合使用,请打开 TCP 端口 1494。如果启用会话可靠性,请打开 TCP 端口 2598 而不是 1494。Citrix 建议将这两个端口保持打开状态。

思杰虚拟桌面、思杰虚拟应用程序、Web 界面或店面

如果要部署 Citrix 网关以通过 Web 界面或 StoreFront 提供对 Citrix 虚拟应用程序和桌面的访问,请完成以下任务。此部署不需要 Citrix 网关插件。用户仅通过使用 Web 浏览器和 Citrix Receiver,通过 Citrix 网关访问已发布的应用程序和桌面。

  • 记下运行 Web 界面或店面的服务器的 FQDN 或 IP 地址。
  • 记下运行安全票证机构 (STA) 的服务器的 FQDN 或 IP 地址(仅适用于 Web 界面)。

Citrix Endpoint Management

如果在内部网络中部署 Citrix 端点管理,请完成以下任务。如果用户从外部网络(如 Internet)连接到端点管理,则用户必须先连接到 Citrix Gateway,然后才能访问移动、Web 和 SaaS 应用。

  • 记下端点管理的 FQDN 或 IP 地址。
  • 识别用户可以访问的 Web、SaaS 和移动 iOS 或 Android 应用程序。

使用 Citrix 虚拟应用程序进行双跳 DMZ 部署

如果要在双跳 DMZ 配置中部署两个 Citrix 网关设备,以支持对运行 Citrix 虚拟应用程序的服务器的访问,请完成以下任务。

思杰网关在第一个非军事区

第一个 DMZ 是位于内部网络最外边缘(最接近 Internet 或不安全的网络)的 DMZ。客户端通过将 Internet 与 DMZ 分开的防火墙连接到第一个 DMZ 中的 Citrix 网关。在第一个 DMZ 中安装 Citrix 网关之前,请收集此信息。

  • 完成此 Citrix 网关清单的 Citrix 网关基本网络连接部分中的项目。

    完成这些项目时,请注意,接口 0 将此 Citrix 网关连接到 Internet,接口 1 将此 Citrix 网关连接到第二个 DMZ 中的 Citrix 网关。

  • 在主设备上配置第二个 DMZ 设备信息。

    要将 Citrix 网关配置为双跃点 DMZ 中的第一个跃点,必须在第一个 DMZ 中的设备上的第二个 DMZ 中指定 Citrix 网关的主机名或 IP 地址。指定在第一个跃点中的设备上配置 Citrix 网关代理后,请将其全局绑定到 Citrix 网关或虚拟服务器。

  • 记下设备之间的连接协议和端口。

    要将 Citrix 网关配置为双 DMZ 中的第一个跃点,必须指定第二个 DMZ 中 Citrix 网关侦听连接的连接协议和端口。连接协议和端口是带 SSL 的 SOCKS(默认端口 443)。协议和端口必须通过分隔第一个 DMZ 和第二个 DMZ 的防火墙打开。

思杰网关在第二个非军事区

第二个 DMZ 是最接近内部安全网络的 DMZ。部署在第二个 DMZ 中的 Citrix 网关用作 ICA 流量的代理,在外部用户设备和内部网络上的服务器之间遍历第二个 DMZ。

  • 完成此 Citrix 网关清单的 Citrix 网关基本网络连接部分中的任务。

    完成这些项目时,请注意,接口 0 将此 Citrix 网关连接到第一个 DMZ 中的 Citrix 网关。接口 1 将此 Citrix 网关连接到安全网络。